Escolar Documentos
Profissional Documentos
Cultura Documentos
ASSESSORIA DE INFORMÁTICA
Relatório Técnico
sobre
Versão 1.0
Março de 2008
1
Índice
1.Resumo...........................................................................................................................3
2.Introdução.......................................................................................................................3
4.2 Problemas...............................................................................................................6
5.Segurança.......................................................................................................................9
5.4.4 EAP-FAST......................................................................................................15
5.4.5 EAP-TLS........................................................................................................15
6.Conclusão.....................................................................................................................17
2
1.Resumo
Este relatório tem como premissa abordar as principais características técnicas referentes
às redes sem fio e pode ser utilizado por alunos, professores e funcionários da UNESP
que desejam obter maiores informações sobre o assunto.
Com base neste documento é que foi estabelecida a “Norma Técnica para o Oferecimento
de Redes Sem Fio na UNESP”, gerada pelo Grupo de Redes de Computadores da
Assessoria de Informática.
2.Introdução
As redes sem fio chegaram com o objetivo claro de proporcionar mobilidade e flexibilidade
para as pessoas e instituições, contribuindo assim para um ganho de produtividade e
satisfação dos seus usuários, pois as informações passam a estar disponíveis de forma
fácil dentro da área coberta pela tecnologia. Contudo, novos avanços tecnológicos
também trazem consigo novos problemas, sendo que, em redes sem fio, o maior deles é
a preocupação com a segurança das informações.
Os itens que serão descritos a seguir fazem parte dos procedimentos que deverão ser
adotados para a implementação de redes sem fio seguras nas unidades da UNESP.
3
a faixa de freqüência de 2,4 GHz é de no máximo 36 dBm (400 mW). Lembrando
que o cálculo do EIRP é:
EIRP = Pt + G – p sendo,
Pt: potência do transmissor
G: ganho da antena
p: perda nos cabos
Em localidades com população superior a 500 mil habitante, as estações com EIRP
superior a 36 dBm (400 mW) não podem operar sem autorização da ANATEL. Em
localidades com menos de 500 mil habitantes não é necessário a autorização e
não há limite de EIRP. Resolução 365 de 10/05/2004.
Em aplicações ponto-a-ponto, para cada 3 dB de ganho na antena que ultrapassar
6dBi, deve-se reduzir 1 dB na potência do transmissor.
1 Mbps
2 Mbps
AP
5.5 Mbps
11 Mbps
4
3.2 Padrão 802.11a
A transmissão é realizada utilizando a faixa de freqüência de 5 GHz, que é
subdividida em 3 outras faixas: U-NII1 (5150 a 5250 MHz), U-NII2 (5250 a 5350
MHz) e U-NII3 (5725 a 5825 MHz).
A taxa de transmissão máxima é de 54Mbps. As outras taxas possíveis são
48Mbps, 36Mbps, 24Mbps, 18Mbps, 12Mbps, 9Mbps e 6Mbps.
Está menos suscetível a interferências, pois há menos dispositivos que operam na
freqüência de 5GHz e também devido a distribuição dos canais.
Por utilizarem a faixa de freqüência de 5 GHz os dispositivos deste padrão são
incompatíveis com os que operam na faixa de 2,4 GHz.
Possui 12 canais, quatro para cada faixa U-NII. Os canais U-NII1 são utilizados
exclusivamente em ambientes internos devido à regulamentação, já o U-NII2 e U-
NII3 podem ser utilizados em ambos.
Dado que diferença entre as freqüências centrais dos canais é de 20MHz e a
largura de banda é de 16,6 MHz, não há sobreposição de canais, portanto, não há
interferência de um canal sobre outro.
Utiliza a tecnologia OFDM (Orthogonal Frequency Division Multiplexing) para
transmitir as informações, sendo que para atingir as taxas de transmissão
possíveis, são utilizadas técnicas de modulação distintas (BPSK – 6 e 9 Mbps,
QPSK – 12 e 18 Mbps, 16-QAM – 24 e 36 Mbps e 64-QAM – 48 e 54 Mbps).
O EIRP máximo em aplicações ponto-a-ponto para a freqüência de 5 GHz é
200mW para U-NII1 e U-NII2. Em U-NII3 pode-se fazer uso de antenas de
transmissão com ganho direcional superior a 6 dBi sem necessidade de reduzir a
potência máxima na saída do transmissor. Resolução 365 de 10/05/2004: Art. 43,
46 e 47.
É uma alternativa a ser considerada quando o espectro em 2,4GHz está poluído.
5
O sistemas que operam na fixa de 2,4 GHz e 5 GHz são considerados de radiação
restrita (secundário), portanto estão isentos de licenciamento para instalação e
funcionamento. Caso estes sistemas venham a prejudicar os de caráter primário,
eles deverão interromper sua operação até a solução do problema.
Os dispositivos que operam nestas faixas devem obrigatoriamente possuir
certificação emitida pela ANATEL.
4.2 Problemas
Em ambientes internos, os diferentes tipos de superfícies e a presença de certos
materiais afetam de alguma forma a intensidade do sinal.
Poços de elevadores, escadas e colunas bloqueiam o sinal, por serem áreas
reforçadas da construção;
6
Salas de distribuição de energia elétrica absorvem o sinal;
Escritórios absorvem o sinal devido a presença de materiais metálicos (ex:
armários de arquivos).
Ficar atento à interferência causada por canais adjacentes (sobreposição de canais) e
considerar que pode haver falha em um AP resultando em perda de conectividade na
região de operação do AP falho. Aumentar o número de APs pode amenizar o impacto da
falha, pois a área descoberta pode ser atendida pelos APs vizinhos utilizando taxas de
transmissão mais baixas.
7
5 GHz. Obs.: estes valores podem variar dependendo do fabricante.
O melhor indicador para medir a performance de uma rede sem fio é o RSSI (Received
Signal Strength Indication – Indicação de Intensidade do Sinal Recebido), que indica o
nível mínimo que deve haver no receptor para atingir a taxa de transmissão desejada.
O intervalo aceitável de RSSI varia de -60 a -80 dBm. Valores maiores que -55 dBm são
considerados como intensidade excepcional e valores menores que -85 dBm são
considerados de baixa intensidade. O RSSI pode ser calculado da seguinte forma: RSSI =
SNR + Ruído.
Também deve ser verificado a performance de transferência de pacotes entre cliente e AP.
Pelo menos 90% dos pacotes devem ser transmitidos com sucesso para atingir a
performance mínima (10% de perda aceitável).
Caso haja tráfego de voz na rede sem fio deve-se considerar um aumento de 15dB tanto
no RSSI quanto na SNR para evitar degradação na qualidade da voz.
As recomendações para análise da intensidade do sinal para a faixa de freqüência de 5
GHz são as mesmas da faixa de 2,4 GHz. Basta considerar os valores específicos da
faixa de 5 GHz nos cálculos.
Caso seja utilizada antenas externas, deve-se considerar a perda existente nos cabos
coaxiais. Esta perda vai influenciar de forma negativa na intensidade do sinal.
Não há como determinar o alcance do sinal sem realizar a análise do local, pois, as ondas
de rádio são afetadas por diversos componentes. Assim, a análise deve ser realizada em
8
momentos de pico com a presença do maior número de pessoas e objetos, mesmo que
isto traga transtornos momentâneos. Caso contrário, a rede pode se portar de forma
diferente do observado durante a análise.
5.Segurança
Um dos grandes desafios enfrentados por administradores de rede em uma rede sem fio
é a segurança das informações que por ela trafegam. Em redes cabeadas, restrições de
acesso físico previnem que usuários não autorizados se conectem à rede, mas nas redes
sem fio, como o sinal trafega pelo ar e pode extrapolar os limites desejados, uma estação
não autorizada pode obter acesso à rede.
Alguns usuários, na ânsia por acesso móvel, acabam instalando redes sem fio por
iniciativa própria dentro do seu ambiente de trabalho, dado que, na maioria dos casos,
basta ligar o AP, conectá-lo na rede e efetuar algumas configurações no cliente para que
se inicie a utilização da rede sem fio. Nem sempre estes usuários tem conhecimento das
características técnicas e dos requisitos de segurança, desta forma, este tipo de atitude
abre uma brecha para que usuários não autorizados tenham acesso à rede e possam
interceptar as informações que por ela trafegam.
Para sanar estes problemas deve-se preocupar com duas questões: criptografia e
autenticação. Assim, garante-se que somente usuários autorizados terão acesso a rede
sem fio e que as informações serão criptografadas antes de serem enviadas pelo ar.
Diversos mecanismos buscam garantir segurança em redes sem fio, porém, alguns deles
apresentam vulnerabilidades que podem comprometer a segurança enquanto outros são
mais confiáveis. Estes mecanismos oferecem métodos de criptografia e/ou autenticação.
Eles serão apresentados a seguir começando do mais vulnerável para o mais seguro.
O SSID é um mecanismo no qual deve-se identificar a rede sem fio com um nome. Este
nome deve ser compartilhado entre o cliente e o AP. Caso o cliente não possua o SSID,
ele não será capaz de se associar ao AP e não terá acesso à rede.
As redes que utilizam somente este mecanismo de segurança estão sujeitas à invasões,
pois, qualquer dispositivo não autorizado pode rastrear o SSID e acessar a rede. Para não
exibir o SSID, basta desabilitar o seu broadcast no AP e compartilhá-lo somente com os
usuários que terão acesso à rede. Também deve ser trocado o SSID que vem cadastrado
por padrão no AP para dificultar a sua descoberta.
Este mecanismo oferece um nível de segurança extremamente baixo e não deve ser
utilizado como único mecanismo de segurança, pois, mesmo desabilitando o
broadcast no AP, um cliente já conectado à rede transmite o SSID. Sem nenhum método
de criptografia implementado, cria-se uma brecha para que um possível atacante possa
interceptar os pacotes e obter o SSID para ter acesso à rede sem fio.
9
5.2 Autenticação por endereço MAC
Este mecanismo autentica apenas o dispositivo e não autentica o usuário. Assim, caso o
dispositivo caia na mão de um usuário não autorizado, ele poderá ter acesso à rede.
Outro problema é que é fácil forjar o endereço MAC se passando por um dispositivo
autorizado, portanto, este mecanismo também oferece um nível se segurança baixo e
não deve ser utilizado com único mecanismo de segurança. Outro problema é que
em caso de substituição ou falha da placa de rede do dispositivo, o novo endereço MAC
deve ser atualizado no AP.
No WEP, o cliente e o AP compartilham uma chave secreta estática que deve ser
configurada manualmente e é checada durante o processo de autenticação (os APs
aceitam até quatro chaves). Se o cliente informa uma chave diferente da que se encontra
no AP ele não pode se associar, portanto, não terá acesso à rede. Caso a chave seja
roubada e necessite ser trocada, todos os clientes deverão ter suas chaves alteradas.
10
utilizadas pelo RC4. A parte variável da chave (VI), que possui apenas 24 bits e pode se
repetir ao longo do tempo, compromete a chave como um todo.
11
O WPA pode trabalhar em dois modos distintos de autenticação, sendo um destinado a
redes domésticas e temporárias e outro destinado a redes corporativas. A seção 3.4.4.1
detalha o funcionamento do WPA em redes domésticas ou temporárias.
Em redes institucionais, o WPA deve trabalhar em conjunto com o padrão 802.1X. Este
padrão define três papéis que são: o solicitante (cliente), o autenticador (AP) e o servidor
de autenticação (geralmente o RADIUS) e é utilizado para comunicação entre AP e
servidor. Com o 802.1X é criada uma estrutura no qual os usuários (cliente e AP)
autenticam-se mutuamente com o servidor de autenticação. A autenticação mútua previne
que clientes se conectem em APs não autorizados na rede.
A PMK não é utilizada para nenhuma operação de segurança, seu objetivo é gerar um
conjunto de chaves chamado PTK (Pairwise Transient Key), que será utilizado para
proteger a comunicação entre dois dispositivos. O PTK é gerado toda vez que um cliente
se associa ao AP. Se a PMK fosse o único fator utilizado para gerar o PTK, as novas
chaves geradas seriam sempre iguais, assim, o PTK é composto pelo endereço MAC do
dispositivo e por um número randômico (nonce) gerado tanto pelo cliente quanto pelo AP.
É necessário então, que o AP e o cliente troquem seus endereços MAC e nonces para
que eles possam gerar PTKs idênticos em cada ponta. O endereço MAC do dispositivo
permite identificar o dispositivo no PTK.
O PTK é formado por quatro sub-chaves de 128 bits, sendo que as duas primeiras são
utilizadas para integridade e criptografia dos dados e as duas últimas para proteger o
processo de troca de informações entre o cliente e o AP, que é realizado em quatro vias
(four-way handshake). Este processo efetua a troca de nonces e endereços MAC entre
cliente e AP para certificar que ambos possuem o mesmo PTK, resultando assim na
confiança mútua entre os dispositivos. Após a confirmação de que os dispositivos
possuem o mesmo PTK, eles iniciam a cifragem dos dados e efetuam a transmissão de
forma segura.
12
podem transmitir em broadcast, somente os APs, porém são os clientes que enviam o
pedido ao AP. Para sanar este problema, foi criado o Group Key que é uma chave
específica para esta função e é conhecida por todas os clientes e pelo AP.
No Group Key também existe uma chave mestre, a GMK (Group Master Key), que é um
número randômico de 256 bits gerado pelo AP. A partir dela é gerado um conjunto de
chaves, o GTK, que será utilizado para criptografia e integridade dos dados. O GTK
possui duas sub-chaves e o AP é responsável por enviá-lo a cada estação que se
associar na rede. Assim, toda mensagem de broadcast ou multicast é criptografada com a
primeira sub-chave e a integridade é verificada pela última.
O WPA reconhece esta dificuldade e oferece seus benefícios de segurança por meio do
uso de uma chave pré-compartilhada PSK, que proporciona a mesma criptografia do
método TKIP. Assim como no WEP, a chave deve ser digitada manualmente no cliente e
previamente configurada no AP para permitir a autenticação e pode variar de 8 a 63
caracteres ASCII. Apesar do uso do PSK não ser tão robusto quanto o EAP, ela provê
uma alternativa útil para redes domésticas ou temporárias.
A criptografia dos dados funciona da mesma forma como é feita para redes institucionais,
tanto que ainda não foi reportada nenhuma quebra de segurança prática em sistemas que
utilizam WPA, mesmo quando utilizado com PSK. Só que neste caso a chave PMK é a
própria PSK que é configurada diretamente no AP.
O LEAP deve ser utilizado junto com um servidor de autenticação. Ele possui a função de
autenticação mútua onde o cliente certifica que o AP e o servidor são verdadeiramente
quem eles dizem ser.
Durante o processo de autenticação do LEAP, o cliente tenta associar ao AP que por sua
vez solicita o login do cliente. O cliente informa, o AP encapsula a resposta e repassa a
repassa ao servidor. O servidor inicia um processo de desafio com o cliente. Caso o
desafio seja solucionado corretamente, é enviada uma mensagem de sucesso ao AP
indicando que o cliente foi autenticado. Portanto, o servidor autentica o cliente.
Agora o cliente precisa verificar se o AP e o servidor são realmente quem eles dizem ser.
13
O cliente envia um desafio ao AP que o repassa ao servidor. O servidor deve responder
corretamente o desfio ao cliente para validar a rede e então associar. Em caso de
sucesso, são geradas chaves no cliente e no servidor. O servidor encaminha a chave
dinâmica ao AP para aquele cliente específico. Neste ponto, os dados são cifrados com a
chave do cliente e enviados a ele.
O processo de solicitação do cliente para receber acesso a rede sem fio no EAP,
acontece da seguinte forma:
O cliente solicita conexão ao AP;
O cliente tenta se autenticar no servidor usando 802.1x. Como parte da negociação
PEAP, o cliente estabelece uma sessão TLS com o servidor;
O cliente se autentica no servidor utilizando GTK/MS-CHAPv2. Durante esse
intercâmbio, o tráfego no túnel TLS é visível somente para o cliente e para o
servidor. Ele nunca é exposto ao AP;
O servidor verifica as credenciais do cliente e caso ele seja autenticado com êxito,
o servidor montará as informações que permitirão decidir se autoriza o cliente a
usar a rede;
O servidor retransmite a decisão de acesso ao AP. Se o acesso for concedido ao
cliente, o servidor transmitirá a chave mestre ao cliente e ao AP;
O cliente e o AP compartilharão as informações de chaves que poderão usar para
cifrar e decifrar o tráfego entre eles;
O AP permite que o cliente se comunique livremente com a rede sem fio;
O tráfego enviado entre o cliente e o AP é criptografado.
14
5.4.4 EAP-FAST
5.4.5 EAP-TLS
O EAP-TLS é um padrão IETF (RFC 2716) e um dos métodos mais seguros de EAP para
utilizar com o 802.11X. Ele utiliza o protocolo TLS de certificado para autenticar os
clientes sem fio e o servidor mutuamente, usando métodos de criptografia de alta
segurança e gerando chaves de criptografia usadas para proteger o tráfego sem fio.
A transação para efetuar a autenticação é semelhante ao PEAP, com exceção que após a
autenticação do servidor pelo cliente, o cliente é autenticado pelo servidor utilizando o
certificado do cliente.
15
Neste método não há necessidade de um usuário e senha para autenticação, pois ela
ocorre automaticamente, sem a intervenção do usuário. Porém, durante a renovação do
certificado, todo o procedimento de instalação do certificado deverá ser refeito para que o
cliente possa se autenticar novamente.
No WPA2, foi criado um novo protocolo de segurança chamado CCMP (Counter Mode
with Cipher Block Chaining Message Authentication Code Protocol), apesar de ainda ser
possível utilizar o TKIP como um protocolo opcional. O CCMP introduz um novo algoritmo
para cifragem dos dados chamado AES (Advanced Encryption Standard), que é um dos
últimos e mais seguros métodos de cifragem de dados existente.
16
O sistema de chaves utilizado pelo WPA2 é o mesmo do WPA, no entanto, é utilizada
uma única chave para cifragem e verificação da integridade dos dados. Portanto, o PTK é
composto de três sub-chaves e o GTK por apenas uma sub-chave.
Desde 2006, todos os dispositivos que desejam ser certificados como Wi-Fi, ou seja,
receber o selo da Wi-Fi Alliance, devem implementar obrigatoriamente o WPA2.
6.Conclusão
As redes sem fio são um ótimo mecanismo que pode oferecer acesso móvel e
comodidade aos seus usuários, com características semelhante a das redes cabeadas.
Porém, deve-se tomar todas as medidas necessárias que garantam seu perfeito
funcionamento, a autenticidade do usuário e a segurança das informações que trafegam
por este tipo de rede.
Utilize este relatório para obter informações sobre as características das redes sem fio e o
que elas podem oferecer e também como guia para implementar uma rede sem fio que
atenda os requisitos mínimos de segurança desejáveis.
17